03 May Sobre la estafa informática – sus requisitos y su indemnización por parte de los Bancos
En un momento en que impera el distanciamiento social y en que se incentiva el recurso a los medios digitales para realizar un sinfín de tareas cotidianas, ha aumentado el número de casos de intentos y, peor, de consumación de estafas informáticas. No obstante, cuando los canales bancarios hayan sido instrumentales, todavía se podría conseguir que los Bancos sean obligados a indemnizar a los afectados, así que no todo estaría perdido.
En la sentencia del Tribunal Supremo, Sala de lo Penal, nº 49/2020, de 12 de febrero, se viene a analizar un caso más o menos típico de estafa informática en que el delincuente se hace con las claves bancarias y datos de la tarjeta de crédito del afectado para efectuar una serie de transferencias a su favor.
Indica el Tribunal Supremo que «el conocido como fraude informático está previsto como una modalidad de estafa con configuración propia, que no responde a la estructura tradicional aquella. Es un tipo a través del que se pretende proteger el patrimonio de los ataques que propician las nuevas tecnologías y cuyo eje lo constituye lo que el Código describe como «manipulación informática o artificio semejante». Son éstos los que han de ser idóneos para conseguir esa transferencia inconsentida de un activo patrimonial, que integra el acto de disposición que provoca el enriquecimiento que el autor persigue. A diferencia de lo que ocurre respecto a la estafa prevista en el nº 1 del artículo 248 del CP, el engaño ya no es un elemento básico ni es de imprescindible presencia. Se ha visto sustituido en esa función por los artificios prohibidos. En palabras de la STS 533/2007 de 12 de junio, no es precisa la concurrencia de engaño alguno por el estafador, porque el acecho a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige el engaño personal.
En este caso hubo engaño personal para conseguir las llaves que permitieron al acusado el acceso a las claves informáticas. Estas operaron como artilugio idóneo para conseguir el desplazamiento del dinero depositado en la cuenta de la víctima a otra titularidad del acusado, es decir, las que le facultaron a transferir el dinero inconsentidamente, como exige el tipo.»
Es curioso que el Abogado defensor del acusado hubiese intentado desplazar la responsabilidad a la propia víctima diciendo que esta no había tenido el cuidado debido. Aunque pueda parecer algo absurdo, aún así, cabe recordar la doctrina del Tribunal Supremo al respecto, o sea, en qué casos es realmente la víctima la responsable de haber caído en el engaño y, en consecuencia, no hay lugar a condena penal.
Así, «en lo relativo a las obligaciones de autoprotección que serían exigibles a la víctima, la jurisprudencia ha aceptado excepcionalmente en algunos casos la atipicidad de la conducta cuando el engaño es tan burdo, tan fácilmente perceptible, que hubiera podido ser evitado por cualquier sujeto pasivo con una mínima reacción defensiva, o, al menos, por un sujeto pasivo cualificado obligado a ciertas cautelas.
Ahora bien, una cosa es la exclusión del delito de estafa en supuestos de «engaño burdo», o de «absoluta falta de perspicacia, estúpida credulidad o extraordinaria indolencia», y otra que se pretenda desplazar sobre la víctima de estos delitos la responsabilidad del engaño, y se le exija un modelo de autoprotección o autotutela que no está definido en el tipo ni se reclama en otras infracciones patrimoniales.
Dijimos en la STS 660/2014 de 14 de octubre, con cita de las anteriores 482/2008 de 28 de junio y 162/2012 de 15 de marzo, que el principio de confianza o de la buena fe negocial que rige como armazón en nuestro ordenamiento jurídico, no se encuentra ausente cuando se enjuicia un delito de estafa. La ley no hace excepciones a este respecto, ni obliga al perjudicado a estar más precavido en este delito que en otros, de forma que la tutela de la víctima tenga diversos niveles de protección.»
Finalmente y felizmente para la víctima, Caixabank fue condenada de forma subsidiaria a indemnizar a la víctima por los perjuicios sufridos.
En su FD TERCERO, sigue el TS indicando que «el apartado 3º del artículo 120 del CP prevé la responsabilidad subsidiaria de «las personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción».
(…)
Decíamos en la sentencia 327/2016 de 20 de abril y que resuelve un supuesto con claras similitudes al que ahora nos ocupa, en cuanto que se trató también de una transferencia on line realizada mediante el uso de unas claves obtenidas fraudulentamente (…) Es cierto que es posible que determinados hechos tengan lugar aunque la entidad bancaria haya adoptado medidas de seguridad adecuadas. Pero para que sea posible un análisis de las mismas habrá de acreditar su existencia y su adecuado cumplimiento, lo cual no ha tenido lugar en el caso.
En casos como el presente, es claro que la actividad propuesta por la entidad bancaria a sus clientes mediante la operativa on line presenta algunos riesgos derivados de la posibilidad de suplantación de la identidad de quien contrata con la entidad para la realización de operaciones sin la autorización del auténtico contratante. Es claro también que, excluyendo actuaciones dolosas o gravemente negligentes por parte de los clientes, la entidad bancaria es responsable de ofrecer y poner en práctica un sistema seguro, de manera que las consecuencias negativas de los fallos en el mismo no deberán ser trasladados al cliente. Todo ello con independencia de la determinación de quien sea el auténtico perjudicado en estos casos, en atención a la correcta interpretación de los preceptos que regulan esta clase de depósitos».»
Conclusión, nadie está completamente a salvo de ser afectado por una estafa informática pero hay cuidados básicos a tomar como no divulgar claves personales a nadie, no utilizar contraseñas iguales en todas las páginas, utilizar medios de «verificación en dos pasos» para confirmar y autorizar operaciones de pago online, confirmar la autenticidad y la existencia del certificado «https» de las páginas en que se está navegando, buscar información sobre la página y críticas de varios usuarios anteriores (aunque también es cierto que, cada vez más, proliferan perfiles falsos), no compartir ordenadores, etc. Al respecto, les dejamos el enlace para un artículo sobre «10 consejos de expertos en ciberseguridad para evitar problemas navegando por la red«.
¿Tienes alguna duda?
Contáctanos, te ayudaremos seguro.
Descarga nuestra app gratuita para móviles android y soluciona tus dudas 24h/día
Puedes igualmente ver otros casos de éxito de nuestro Despacho en nuestra plataforma de facebook Recupera tu dinero y tus derechos